ПОЛОЖЕНИЕ

об обработке персональных данных покупателей-физических лиц сети магазинов «lady & gentleman CITY» (а также иных партнеров программы), получивших дисконтные карты FASHION CLUB

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение «Об обработке персональных данных покупателей-физических лиц сети магазинов «lady & gentleman CITY» (а также иных партнеров программы), получивших дисконтные карты FASHION CLUB» (далее — Положение) определяет порядок обработки и защиты персональных данных (далее — ПДн) покупателей-физических лиц сети магазинов «lady & gentleman CITY» (а также иных партнеров программы), получивших дисконтные карты FASHION CLUB, и заполнивших соответствующие анкеты.
1.2. Настоящее Положение разработано в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 №149-ФЗ «Об информатизации, информационных технологиях и о защите информации», Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и иными нормативными актами, действующими на территории Российской Федерации.
1.3. Действия настоящего Положения распространяется на весь персонал ООО «Ритейл-Сити» и доводится до сведения всех сотрудников.
1.4. Настоящее Положение вступает в силу со дня его утверждения Генеральным директором ООО «Ритейл-Сити». Все изменения в настоящее положение вносятся Приказом Генерального директора ООО «Ритейл-Сити».
1.5. Контроль за выполнением настоящего положения возложен на директора департамента рекламы.
1.6. В настоящем Положении используются следующие термины и определения:
Оператор — ООО «Ритейл-Сити». Осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными клиентов и контрагентов.
Клиент, Контрагент — физическое лицо, покупатель лиц сети магазинов «lady & gentleman CITY» (а также иных партнеров программы), получивший дисконтную карту FASHION CLUB, и заполнивший соответствующую анкету.
Персональные данные Клиента, Контрагента — персональные данные, необходимые Оператору в связи с исполнением договорных отношений и касающаяся конкретного Клиента, Контрагента: его фамилия, имя, отчество, год, месяц, дата рождения, номер телефона.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Защита персональных данных Клиента, Контрагента — деятельность ООО «Ритейл-Сити» по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер обеспечения конфиденциальности информации.
Конфиденциальность персональных данных — обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения и передачи третьим лицам без согласия субъекта персональных данных или наличия иного законного основания.

2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Персональные данные Клиента и Контрагента относятся к категории конфиденциальной информации.
2.2. В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных Клиента и Контрагента соблюдают следующие общие требования: 2.2.1. Обработка персональных данных Клиента и Контрагента осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия выполнения договорных обязательств в соответствии с законодательством РФ.
2.2.2. При определении объема и содержания, обрабатываемых персональных данных Клиента и Контрагента Оператор руководствуется законодательством РФ.
2.2.3. Все персональные данные Клиента или Контрагента Оператор получает у него самого, за исключением случаев, когда их получение возможно только у третьей стороны способом, не противоречащим законодательству РФ.
2.2.4. Обработка персональных данных, полученных от третьих лиц, возможна только при уведомлении субъекта персональных данных об этом заранее.
2.2.5. Оператор не получает и не обрабатывает персональные данные Клиента или Контрагента о его политических, религиозных и иных убеждениях и частной жизни.
2.2.6. Персональные данные не используются в целях причинения имущественного и морального вреда Клиенту, Контрагенту, затруднения реализации его прав и свобод.
2.2.7. При принятии решений, затрагивающих интересы Клиента и Контрагента, Оператор не основывается на персональных данных Клиента и Контрагента, полученных исключительно в результате их автоматизированной обработки без его письменного согласия на такие действия.
2.3. При идентификации Клиента и Контрагента Оператор требует предъявление документов, удостоверяющих личность и подтверждающих полномочия представителя.
2.4. При заключении договора, как и в ходе его исполнения, может возникнуть необходимость в предоставлении Клиентом, Контрагентом иных документов, содержащих информацию о нем, с момента предоставления которых может быть связано предоставление дополнительных гарантий и компенсаций.

3. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Все сотрудники, имеющие доступ к ПДн Клиентов и Контрагентов обязуются не разглашать их, а также соблюдать требования действующего законодательства РФ по защите персональных данных.
3.2. Защита персональных данных Клиентов или Контрагентов от неправомерного их использования или утраты обеспечивается Оператором в порядке, установленном законодательством РФ.
3.3. Защите подлежат:
- персональные данные Клиентов и Контрагентов;
- носители, содержащие персональные данные Клиентов и Контрагентов;
- персональные данные, содержащиеся на электронных и материальных носителях.
3.4. Ответственные лица подразделений ООО «Ритейл-Сити», хранящих персональные данные на бумажных и машинных носителях информации, обеспечивают их защиту от несанкционированного доступа и копирования.
3.5. Ответственные лица, обрабатывающие персональные данные в информационных системах персональных данных и на машинных носителях информации, обеспечивают защиту в соответствии с требованиями законодательства РФ, нормативными и методическими документами, касающимися защиты ПДн.

4. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Сведения о Клиентах и Контрагентах на бумажных носителях хранятся в помещениях ООО «Ритейл-Сити». Для хранения носителей используются специально оборудованные закрывающиеся шкафы (ящики), расположенные внутри контролируемых зон ООО «Ритейл-Сити».
4.2. Обязанности по хранению документов, в которых содержатся персональные данные Клиентов и Контрагентов, возлагаются на руководителей подразделений, в которых обрабатывается информация.
4.3. Ключи от шкафов (ящиков), в которых хранятся носители ПДн, находятся у сотрудника, обрабатывающего данную информацию.
4.4. Персональные данные Клиентов и Контрагентов могут также храниться в электронном виде, доступ к которым ограничен.
4.5. Доступ к персональным данным Клиентов и Контрагентов без специального разрешения имеют сотрудники, занимающие в ООО «Ритейл-Сити» следующие должности:
- Генеральный директор;
- Заместители Генерального директора;
- Директор департамента рекламы.
4.6. Внутренний доступ к персональным данным Клиентов или Контрагентов другим сотрудникам ООО «Ритейл-Сити» может быть предоставлен только лицам, внесенным в Список лиц, допущенных к обработке персональных данных и только в интересах и в рамках выполнения должностных обязанностей.
4.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено законодательством Российской Федерации, уничтожаются.

5. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1 При передаче персональных данных Клиента или Контрагента Оператор соблюдает следующие требования, и выполняются следующие условия:
5.1.1. Осуществляет обработку персональных данных Клиента или Контрагента в пределах своей организации в соответствии с настоящим Положением.
5.1.2. Разрешает доступ к персональным данным Клиентов или Контрагентов только специально уполномоченным лицам, при этом указанные лица вправе получать только те персональные данные Клиента или Контрагента, которые необходимы для выполнения конкретных функций.
5.1.3. Вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение Оператора).
5.1.4. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством. В поручении Оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.
5.1.5. Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
5.1.6. В случае если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.
5.1.7. Передает персональные данные Клиента или Контрагента его представителям в порядке, установленном законодательством РФ, и ограничивает эту информацию только теми персональными данными Клиента или Контрагента, которые необходимы для выполнения указанными представителями их функций.
5.2 В случае если Оператору оказываются услуги юридическими или физическими лицами на основании заключенных договоров (либо иных оснований), и в силу данных договоров эти лица должны иметь доступ к персональным данным Клиентов или Контрагентов, то необходимые персональные данные предоставляются Оператором только после подписания с ними Соглашения о конфиденциальности (неразглашении конфиденциальной информации).

6. ОБЯЗАННОСТИ КЛИЕНТА/КОНТРАГЕНТА И ОПЕРАТОРА
6.1 В целях обеспечения достоверности персональных данных, Клиент, Контрагент обязан:
6.1.1. При заключении договора предоставить Оператору полные и достоверные данные о себе.
6.1.2. В случае изменения сведений, составляющих персональные данные Клиента, Контрагента, не позднее пяти рабочих дней, предоставить обновленную информацию Оператору.
6.2 Оператор обязан:
6.2.1. Обеспечить защиту персональных данных от неправомерного их использования или утраты в порядке, установленном законодательством РФ.
6.2.2. Ознакомить субъекта ПДн по его требованию с действующими внутренними правилами обработки персональных данных.
6.2.3. Обеспечить защищенное хранение документов, содержащих персональные данные. При этом персональные данные не должны храниться дольше, чем этого требуют цели, для которых они были получены, или дольше, чем это требуется в интересах лиц, о которых собраны данные, или дольше, чем этого требует законодательство.
6.2.4. Вести учет передачи персональных данных Клиентов, Контрагентов третьим лицам.
6.2.5. В случае реорганизации или ликвидации Оператора, учет и сохранность документов, порядок передачи их на государственное хранение осуществлять в соответствии с правилами, предусмотренными учредительными документами и действующим законодательством Российской Федерации.
6.2.6. Осуществлять передачу персональных данных субъекта только в соответствии с законодательством РФ и настоящим Положением.
6.2.7. По требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.

7. ПРАВА КЛИЕНТОВ И КОНТРАГЕНТОВ В ЦЕЛЯХ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 В целях обеспечения защиты персональных данных, хранящихся у Оператора, Клиенты и Контрагенты имеют право на:
7.1.1 Получение полной информации о составе своих персональных данных и их обработке, в частности Клиент или Контрагент имеет право знать, кто и в каких целях использует или использовал информацию о его персональных данных.
7.1.2 Бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Клиента или Контрагента на основании письменного запроса, за исключением случаев, если предоставление персональных данных нарушает конституционные права и свободы других лиц.
7.1.3 Определение своих представителей для защиты своих персональных данных.
7.1.4 Требование об исключении или исправлении неверных или неполных устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Оператора персональных данных. При отказе Оператора исключить или исправить персональные данные Клиента или Контрагента он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия.
7.1.5 Требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные Клиента или Контрагента, обо всех произведенных в них исключениях, исправлениях или дополнениях.
7.1.6 Обжалование в суде любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных.

8. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ПОЛУЧЕНИЕ, ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Лица, виновные в нарушении норм, регулирующих обработку персональных данных, привлекаются к ответственности в соответствии с действующим законодательством Российской Федерации.